计算机网络系统安全威胁与对策
开篇:润墨网以专业的文秘视角,为您筛选了一篇计算机网络系统安全威胁与对策范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘要:计算机信息技术的不断发展,使得高校和各类企事业单位都建立了自有的局域网络平台,并通过网络接入设备与互联网相互连接,或通过Internet的VPN通道连接方式,形成了自己单位系统内部使用的广域网络平台,进行着对外信息、信息查询和内部业务的应用,这就使得网络系统随时可能遭受各种网络侵袭和物理环境因素的影响而陷于瘫痪,造成巨大的损失。本文主要介绍了计算机网络信息系统所承受的安全威胁形式以及可以采取的应对策略。
关键词:安全威胁;访问控制
1网络信息系统的安全威胁
安全威胁就是对于计算机网络信息系统的安全而出现的威胁。具体指一些实体或事件,诸如个人、事件或应用程序对于系统内部某一项或某类系统资源的安全性、完整性以及在授权使用范围内的使用造成影响和危害。对于网络信息系统的安全威胁。可将其划分为有意识行为和无意识行为。有意识行为主要是对网络信息系统的有意识的系统入侵。无意识的安全威胁是系统通过扫描(ping的方式)而不对其进行某些实际行动。有偶然行为,也有某些有意识的个人炫耀;有意识的安全威胁则是带有某些目的性的入侵,是对某些信息的修改(如对于学生成绩的修改和对于企业信息的某些主要数据的修改)和专有的数据信息资源的盗取和外泄。系统攻击者(俗称黑客、网军)多数是采用多种独特的方式,寻找将要攻击系统的漏洞而入侵和攻击,造成的影响和危害各不相同。
1.1关闭某些服务
入侵者主要是对于某些网络关键设备(网络核心交换机、某汇聚层或接入交换机)的网络配置程序进行修改,改变网络路由,使之引向一个无效的网络路由指引,而实现网络中断。也可以对某些网络服务器系统进行入侵,关闭服务器的某些应用。
1.2数据信息盗窃
入侵者有目的盗取企事业单位中所需要的关键信息数据、如学生个人信息、企业的经销存数据和财务数据等。这种攻击行为一般是通过网络扫描、伪装或使用某些合法方式对于网络信息系统进行攻击。如:使用扫描和破译用户密码的计算机程序软件和伪造密钥。也可在入侵了网络系统之后,伪装成系统内部用户而由系统内部破译密码合法登录系统等方式对系统发起攻击。
1.3信息数据的破坏
入侵者既有对系统的关键设备设置、程序应用和存储数据的篡改并合法保存,使之为其长时间服务和利用,也有正在通过网络平台进行数据复制传输。这种攻击行为是以损坏系统的数据信息资源的完整性为目的的。
2安全解决方案的关键措施
最大限度地发挥网络数据通信的优势,完整的安全解决方案必须包含以下保护措施:系统物理保护;动态用户身份验证;访问用户控制;多重加密;实时网络监控。
2.1物理安全保护
物理风险主要涉及网络系统平台的设备选型和网络系统访问人员的身份验证。可以使用的措施和策略相应比较多:系统设备选型和调整;网络路由的时段性调整;敏感网络设备或应用设备,配置在可以严格保护的安全环境中;销毁过期文档或对敏感文档实行刻盘保护;动态身份验证;用户密码的安全性保护策略和增加相应的身份验证设备等。物理性的安全措施大多数都依赖于行政手段(如制度性建设等)的干预并结合新设备的购买和使用来实现。
2.2访问用户身份验证
身份验证是所有网络安全系统中不可或缺的一个重要组成部分。是区别系统合法用户和网络入侵者的唯一重要方法。使用统一身份管理系统,进行统一身份验证、统一身份管理、统一授权、统一审核以及单点登录方式,加强管理,守好第一道关卡;除去用户身份验证之外,身份验证系统还可用于分配和确定请求访问者使用网络资源的范围、数据使用授权,如人事数据库、财务数据库、物流系统服务器或数据库等,或某些应用系统中的应用范围限制等;用户身份验证一般包含几个要素:①用户使用方式:智能卡、授权使用证书、usekey等;②用户保护方式:用户密码(静态密码、随即验证码等);③物理属性保护:用户指纹、虹膜或脸部特征扫描识别等物理方式对访问用户进行物理确认。身份验证主要是通过访问用户询问和回答、统一账号管理、基于AD域集成认证和单点登录、统一认证单点登录,数字签名服务管理等技术来实现。作为网络系统管理员,可以根据网络内部和网络外部访问用户的不同需求制定不同的访问安全策略。在网络信息系统内部不同的资源控制区域,采取不同的网络信息资源安保技术的组合来实现对网络内外部访问用户的身份验证。
2.3用户访问控制
用户访问控制是指制约访问用户连接的特定网络、PC、特定类别的数据流量的能力。管理用户访问系统的软硬件技术和实现形式一般如下:①基于AD域防御模式;②静态密码校验方式;③状态检测技术的防火墙技术;④分布式拒绝服务攻击模式;⑤单独使用软件程序系统的软件防火墙技术模式;⑥内嵌式透明防火墙技术;⑦集中管理模式例如在企业内部的局域网内部利用核心层、汇聚层和接入层的网络交换设备所能提供接入的网络区域、文件访问控制列表、多层过滤技术,或是基于同一单位的不同区域的分支机构共同的广域网络的路由设备。这些网络设备管理技术实质上都是基于MAC地址和IP地址、端口号列表的静态过滤控制。而对于安全要求等级要求更高的系统使用用户,可以采用状态控制检查技术的防火墙技术。企事业单位的防火墙、网络负载均衡设备一般置于企业内部网络系统平台与外部Internet接入之间的控制点上。而对于内部安全域的特定网络段设置的边界路由设备设置于安全区域网段与其自有网络系统平台之间的控制点上。这就是对于企事业单位自有网络系统内部部署对于敏感区域的分布式防火墙部署时需要采用嵌入式防火墙的背景要求。笔者所管理的学院网络系统平台就针对教务系统平台、无纸化考试平台、精品课程管理平台、校园一卡通平台、OA系统平台等对于安全等级的不同需求。设立了集中式透明防火墙技术。年平均抵御来自网络系统内部的数十次扫描和试图“合法”进入的不明入侵。
2.4系统加密
即使严密的系统访问控制和身份验证系统的安全防护是否有效,在网络信息系统平台之上或者是与外部系统进行数据交换和数据传输,企事业单位自有网络系统平台及其运行的信息系统仍然面临非法入侵、恶意扫描等风险和隐患。事实上网络接入设备的低成本和连接Internet的网络结构的简易性是最求经济效益和苦于成本预算不足困扰的中小型企事业单位实现内部和与外部单位之间进行数据通信和数据交换的一个诱人选择。同时,由于无线网络的应用,使得由于无线网络信号在网络区域企业边界之外的信号漂移所造成的在单位边界之外的入侵用户的恶意扫描和“合法”接入成为可能。故数据加密技术可用于针对恶意扫描和“合法”入侵的保护性防护。它通过使数据信息只能够被具有解密数据所需密钥的系统使用人员使用。笔者管理的国家海船船员适证考试平台在部署每一场无纸化电子考试前数据导入、考试结束后的考生成绩及考试数据、考生语音数据导出时都需要插入密钥,才能启动考试系统平台,进行相关操作。这就对考试数据和考务计划数据得到了保护。不同的考试部门在密钥程序中以部门代码区别,保证了不同的考试科目使用不同的考试密钥。
2.5安全管理措施
网络安全管理系统应允许网络系统管理员对网络系统平台、外部边缘、数据存储设备等进行实时与定时的监控和管理。使用的身份验证系统应采用动态身份验证和静态验证相结合的管理方法。网络系统管理员应该在每日定时检查和分析防火墙、网络系统负载均衡设备、核心交换机、存储设备、服务器集群管理平台等关键设备的系统日志;定期更换特定访问用户的密钥和密码更新;定期对敏感数据的数据备份工作,以应对可能出现的恶意入侵和自然灾难后的数据恢复工作。制定相应的应急措施和源程序库;安全管理工作要得到全面实施,必须是实现制度化和常态化。网络系统管理员要树立:“网络系统安全防护永远在路上”的心态。企事业单位的管理者,应采取严格的行政手段和法律手段作为网络信息系统安全的保证。
作者:陈蔚 单位:江苏海事职业技术学院